Назад | Перейти на главную страницу

Должен ли я разрешить любой URL-адрес для аутентификации SSL-сертификатов?

Я настраиваю сеть своей компании.

Существует несколько различных уровней доступа, которые определяют, к каким веб-сайтам могут получить доступ пользователи.

Пользователи с самым низким уровнем доступа должны иметь доступ только к нескольким веб-сайтам, поэтому я создал белый список, содержащий около 10 URL-адресов, и настроил веб-фильтр, чтобы запрещать подключения к любому URL-адресу, которого нет в списке.

Он работает должным образом, за исключением нескольких веб-сайтов, например bizagi.com. Когда я пытаюсь подключиться к этому URL-адресу, хотя он находится в белом списке, я получаю следующую ошибку:

Проблема определенно связана с веб-фильтром, потому что, если я изменю его действие по умолчанию на Разрешить сайты, не внесенные в белый список, он будет работать должным образом.

Я понимаю, что могу просто добавить исключение, но это не похоже на то, что нужно делать.

Итак, мой вопрос: Должен ли я занести в белый список любой URL-адрес, чтобы сертификаты SSL были аутентифицированы должным образом? Если да, то какие? Если нет, могу ли я еще что-нибудь сделать (кроме добавления исключения, хе-хе)?

PS: Я использую Cyberoam CR15ing

Заранее спасибо.

Я подозреваю, что прокси-сервер каким-то образом поддерживает соединение SSL и не обрабатывает SNI должным образом. SSLLabs указывает, что для этого веб-сайта требуется SNI, и я видел это раньше - клиенты, не поддерживающие SNI, в конечном итоге видят базовый сертификат, а bizagi размещается в Azure.

$ openssl s_client -connect www.bizagi.com:443
---
Certificate chain
 0 s:/CN=*.azurewebsites.net
   i:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2
 1 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2
   i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root

против

$ openssl s_client -connect www.bizagi.com:443 -servername www.bizagi.com
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=GB/ST=Buckinghamshire/L=Gerrards Cross,/O=BIZAGI LIMITED/CN=*.bizagi.com
   i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5